Gli esperti di sicurezza di Kaspersky hanno individuato un nuovo trojan-horse per sistemi Windows chiamato CowerSnail. Il malware offre le funzionalità tipiche di una backdoor : capacità di ricevere aggiornamenti, eseguire comandi sulla macchina, collezionare informazioni sul sistema target e possibilità di installarsi o disinstallarsi nella lista dei servizi di Windows per l’esecuzione in background.
Nella sua analisi , Sergey Yunakovsky spiega in dettaglio ogni fase dell’infezione: nella prima fase CowerSnail aumenta la priorità del proprio processo, successivamente avvia un servizio separato per la gestione della comunicazione con il C&C (Command and Control) mediante StartServiceCtrlDispatcher .
Se il servizio si attiva con successo le successive comunicazioni con il C&C saranno trasportate tramite esso, altrimenti CowerSnail è in grado di operare senza. Dopo aver registrato l’host infetto nel server C&C, CowerSnail rimane in attesa dei comandi da eseguire.
Alcune caratteristiche salienti hanno permesso all’autore della ricerca di ricondurre il malware ad EternalMiner , la backdoor circolata il mese scorso su migliaia di sistemi Linux per il mining di criptomonete, basata sulla vulnerabilità SambaCry.
Tra queste emerge proprio l’ indirizzo del C&C : cl.ezreal.space sulla porta 20480. La comunicazione avviene presumibilmente attraverso il protocollo IRC riconoscibile nell’analisi del traffico per la presenza del comando “CHANNEL” solitamente utilizzato per comunicare il canale a cui connettersi alle botnet basate su IRC.
Un’altra somiglianza è costituita dall’ utilizzo massiccio del framework Qt , insieme di librerie note agli sviluppatori Linux che permette al codice di essere cross-platform e di non utilizzare le API Win32, pur appesantendo la dimensione dell’eseguibile.
Secondo Yunakovsky è molto probabile, date le somiglianze tra i malware, che in futuro ci troveremo ad affrontare nuove creazioni degli stessi autori.
Ilaria Di Maro